Kubernetes 1.30：只读卷挂载最终可以真正只读了

自 Kubernetes 诞生以来，只读卷挂载（read-only volume mounts）一直是一个特性。令人惊讶的是，在 Linux 上的某些条件下，只读挂载并非完全只读。从 v1.30 版本开始，通过对递归只读挂载（recursive read-only mounts）的 Alpha 支持，可以使其完全只读。

只读卷挂载默认并非完全只读

卷挂载可能比看起来更复杂。

你可能期望以下清单会使容器中 /mnt 下的所有内容都是只读的

---
apiVersion: v1
kind: Pod
spec:
  volumes:
    - name: mnt
      hostPath:
        path: /mnt
  containers:
    - volumeMounts:
        - name: mnt
          mountPath: /mnt
          readOnly: true

然而，/mnt 下的任何子挂载可能仍然是可写的！例如，假设主机上的 /mnt/my-nfs-server 是可写的。在容器内部，对 /mnt/* 的写入将被拒绝，但对 /mnt/my-nfs-server/* 的写入仍然是可写的。

新的挂载选项：recursiveReadOnly

Kubernetes 1.30 添加了一个新的挂载选项 recursiveReadOnly，以使子挂载递归地只读。

该选项可以按如下方式启用

---
apiVersion: v1
kind: Pod
spec:
  volumes:
    - name: mnt
      hostPath:
        path: /mnt
  containers:
    - volumeMounts:
        - name: mnt
          mountPath: /mnt
          readOnly: true
          # NEW
          # Possible values are `Enabled`, `IfPossible`, and `Disabled`.
          # Needs to be specified in conjunction with `readOnly: true`.
          recursiveReadOnly: Enabled

这是通过使用 Linux 内核 v5.12 中添加的 mount_setattr(2) 并应用带有 AT_RECURSIVE 标志的 MOUNT_ATTR_RDONLY 属性来实现的。

为了向后兼容，recursiveReadOnly 字段不是 readOnly 的替代品，而是与其结合使用的。要获得正确的递归只读挂载，必须同时设置这两个字段。

特性可用性

要启用 recursiveReadOnly 挂载，需要使用以下组件

• Kubernetes：v1.30 或更高版本，并且启用了 RecursiveReadOnlyMounts feature gate。从 v1.30 开始，该特性门被标记为 Alpha。

• CRI 运行时

  • containerd：v2.0 或更高版本

• OCI 运行时

  • runc：v1.1 或更高版本
  • crun：v1.8.6 或更高版本

• Linux 内核：v5.12 或更高版本

后续计划？

Kubernetes SIG Node 希望并预计该特性在未来的 Kubernetes 版本中能升级到 Beta，最终达到通用可用性（GA），这样用户就不再需要手动启用该特性门了。

为了向后兼容，recursiveReadOnly 的默认值仍将是 Disabled。

如何了解更多？

请查看文档，了解 recursiveReadOnly 挂载的更多详细信息。

如何参与贡献？

此特性由 SIG Node 社区推动。请加入我们，与社区联系，分享您关于上述特性及其他方面的想法和反馈。我们期待您的来信！

• ←上一篇
• 下一篇→